TokyoBlackHatNews

malwarebytes.com 5分で読了

CVSS v4.0の仕組み:脆弱性の特性評価とスコアリング

共通脆弱性評価システム(CVSS)は、ソフトウェア開発者、テスター、セキュリティおよびITの専門家に、脆弱性を評価するための標準化された方法を提供します。CVSSを使用することで、各脆弱性の脅威レベルを評価し、それに応じて対策の優先順位を決定できます。

この記事では、CVSSの仕組み、その構成要素、および標準化されたプロセスを使用することで組織が一貫して脆弱性を評価できる理由について説明します。

ソフトウェアの脆弱性とは、悪用される可能性のあるコードベースのあらゆる弱点を指します。脆弱性は、誤ったロジック、不十分な検証機構、バッファオーバーフローへの対策不足など、さまざまなコーディングミスから生じます。攻撃者はこれらの弱点を利用して、不正アクセス、任意のコード実行、システム運用の妨害などを行うことができます。

なぜ標準化されたスコアリングシステムを使うのか?

毎年何千もの脆弱性が公開される中で、組織はどれから優先的に対応すべきかを判断する必要があります。CVSSのような標準化されたスコアリングシステムは、チームが以下を行うのに役立ちます:

  • 脆弱性を客観的に比較する
  • パッチ適用や対策の優先順位付けを行う
  • リスクを関係者に伝える

CVSSは インシデント対応およびセキュリティチームフォーラム(FIRST) によって管理されており、National Vulnerability Database(NVD)を含む多くの組織や脆弱性データベースで広く利用されています。

CVSS v3.xのメトリックグループ

CVSS v3.xには、主に3つのメトリックグループが含まれていました:

  1. 基本メトリック: 時間やユーザー環境に関係なく一定である脆弱性の本質的な特性。
  2. 時間的メトリック: 時間とともに変化するが、ユーザー環境間では変わらない特性。
  3. 環境メトリック: 特定のユーザー環境に関連し、固有の特性。

CVSS v4.0の新機能

2023年末にリリースされたCVSS v4.0のアップデートは、以前のバージョン(v3.0/v3.1)と比べていくつかの重要な変更と改善点があります。主な変更点は以下の通りです:

1. メトリックグループの拡張

  • 基本メトリックには、より細分化された区分が追加され、新しい攻撃要件(AT)メトリックや権限要件・ユーザー操作の定義が強化されました。
  • 脅威メトリックは新たに追加されたオプションのメトリックグループで、実際の悪用状況や脅威インテリジェンスを反映し、積極的に悪用されている脆弱性の優先順位付けに役立ちます。
  • 補足メトリックは、安全性、自動化、復旧などの追加情報を提供し、特定の業界や用途に合わせたスコアリングを可能にします。

2. スコアリングと用語の精緻化

  • 攻撃経路(AV)は、ネットワーク、隣接、ローカル、物理的経路の違いがより明確になり、定義も改善されました。
  • 攻撃要件(AT)は、攻撃者の制御外にあるが、悪用のために必要な条件を捉えるために導入されました。
  • 権限要件(PR)とユーザー操作(UI)は、現代の攻撃シナリオを反映するために明確化・拡張されました。
  • スコープは「脆弱なシステム」と呼ばれるようになり、影響範囲をより正確に表現しています。

3. 柔軟性とカスタマイズ性の向上

  • モジュラー型スコアリングにより、組織は基本、脅威、補足メトリックを独立して、または組み合わせて使用できます。
  • 業界固有の拡張により、医療、自動車、重要インフラなどの分野で、より適切なスコアリングが可能になります。

4. ガイダンスと使いやすさの向上

  • より明確なドキュメント: 新しい仕様には、より良い例や詳細なガイダンスが含まれ、スコアリングの曖昧さを減らします。
  • 後方互換性: CVSS v4.0のスコアはv3.xのスコアと直接比較できませんが、新システムは移行期間中の共存を意図して設計されています。

CVSSスコアリングプロセスの流れ(v4.0)

  1. 基本メトリックの評価
    • 更新されたメトリック定義を用いて、脆弱性の悪用可能性と影響度を評価します。
  2. 脅威メトリックの組み込み(オプション)
    • 実際の悪用に関する情報がある場合、現実のリスクを反映するようスコアを調整します。
  3. 環境および補足メトリックの追加
    • 自組織の環境や業界固有の要件に合わせてスコアを調整します。
  4. 最終スコアの算出
    • CVSS計算ツール(v4.0対応済み)が、選択したメトリックを組み合わせて0.0(リスクなし)から10.0(重大リスク)までのスコアを算出します。

CVSS v4.0スコアの例

新たに発見された脆弱性が、ネットワーク経由でリモートコード実行を可能にし、権限もユーザー操作も不要だったとします。CVSS v4.0では、次のように評価します:

  • 該当する基本メトリックを割り当てます(例:ネットワーク、低複雑性、権限不要、ユーザー操作不要)。
  • 積極的な悪用の証拠があれば、脅威メトリックを使用して緊急度を高めます。
  • 自組織に関連する環境メトリックや補足メトリックを追加します。

この結果得られるスコアは、技術的な詳細と現実の脅威状況の両方に基づいて、対策の優先順位付けに役立ちます。

なぜこのアップデートが重要なのか

CVSS v4.0の改善は、ソフトウェア脆弱性の変化する性質と、よりきめ細かく実用的なリスク評価の必要性を反映しています。現実の脅威インテリジェンスや業界固有の文脈を取り入れることで、組織は脆弱性管理についてより適切な意思決定ができるようになります。

主なポイント:

  • CVSS v4.0は、より正確で柔軟かつ実用的な脆弱性スコアリングを提供します。
  • 新しいメトリックグループにより、カスタマイズや現実的な優先順位付けが可能です。
  • 組織は、より包括的な脆弱性リスク管理のためにCVSS v4.0への移行を推奨します。

詳細情報や最新のCVSS v4.0計算ツール・ドキュメントへのアクセスは、FIRST CVSS v4.0ページをご覧ください。

翻訳元: https://www.malwarebytes.com/blog/news/2025/11/how-cvss-v4-0-works-characterizing-and-scoring-vulnerabilities

ソース: malwarebytes.com
#2025年サイバーセキュリティ #AFF(American First Finance) #AIリスク管理 #AI脅威インテリジェンス #CVSS #CVSS v4.0 #ソフトウェア脆弱性 #脆弱性スコアリング #脆弱性評価

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延